一、引言 2010年4月26日,财政部等五部委发布《企业内部控制审计指引》(以下简称《指引》),要求自2011年1月1日起,在境内外同时上市的公司率先实施内部控制审计(以下称“内控审计”)。自2012年1月1日,内控审计的范围扩大到在上海证券交易所、深圳证券交易所主板上市的公司。 内控审计的范围是财务报告相关内控,具体包括:(1)企业为了合理保证财务报告及相关信息真实完整而设计和运行的内控;(2)用于保护资产安全的内控中与财务报告可靠性目标相关的控制。同时,由于内控审计与财务报表审计是既有区别又有联系的两项审计业务,《指引》及其实施意见要求进行二者的整合审计,以使在内控审计与财务报表审计中获取的审计证据应当相互印证,相互利用。 根据笔者的实践接触,广大CPA普遍有两个困惑:(1)如何对内控审计和财务报表审计进行有效整合;(2)由于CPA大量接触财务报表审计,善于发现数字逻辑的错误,但是很少接触管理咨询工作,对于咨询所需要的综合逻辑判断普遍感觉困难,这就导致了内控整体层面的审计成为难点。 对此,笔者根据自身的实践,以HN公司为案例,分析其基于整合审计的内控整体层面审计思路。 二、案例介绍 HN股份公司系A+H上市的大型国有企业,按照证监会的要求2011年度必须接受内控审计。HN公司纳入合并报表的公司共有7家,其结构如下: 1.上述下属子公司中,只有L4系有当地股东参股,其他公司均系HN公司的全资子公司; 2.L1~L5系传统业务板块单元,由于该市场属过度竞争市场,整体效益不佳,故HN公司为整合资源,对传统业务板块进行了统购、统销管理模式,该单元下属各个企业自身对产品生产质量和生产过程耗费等指标负责; 3.K1、K2系高端超薄业务单元,具有明显的技术优势,市场竞争力较强,整体效益好,其中K1是HN公司的主要利润来源,故HN对其采取的是独立经营,通过股权进行控制的管理方式。 三、整合审计的思路 (一)内控审计与财务报表审计 对于HN公司而言,在财务报表审计过程中对内控的关注要点主要是:(1)风险评估过程中了解企业内控,以确定企业财务报表层面是否存在重大风险;(2)只在认定层次,拟确信内控有效的基础上,安排实质性测试程序的范围、深度,和仅实施实质性程序并不能够提供认定层次充分、适当的审计证据,这两种特定情况下才需对内控运行进行测试。 然而,内控审计要求我们对HN公司与财务报告相关的内控设计、执行的有效性发表审计意见,因此,其关注要点在于:(1)了解HN公司的财报相关内控;(2)对财报相关内控运行的有效性进行测试。 通过对比发现,在财报审计中主要是侧重对财报相关内控的了解,内控实施的有效性测试并非必然程序。而内控审计中,对于所了解到的内控,必须进行有效性测试。 (二)对HN公司的整合审计思路 针对HN公司财务报告整体层面相关的内控,在财务报告审计中只需要通过访谈(询问)、观察、穿行测试进行,了解其设计是否有效,以满足风险评估的要求。而在内控审计中,将在此基础上考虑:(1)控制是否得到一贯有效的执行;(2)控制的精度是否足以约束、弥补、取代认定层面(流程)的控制。因此,内控审计中将独立安排对财报整体层面控制进行有效性测试,其测试结果直接用于支持内控的审计意见,同时,可以对财报审计的风险评估起到辅助的印证作用。 HN公司实行统购、统销经营模式下的采购、销售、存货等流程;独立经营模式下的资金、往来等流程,直接关系到其重要账户余额和相关认定的准确、完整。因此,按照整合审计的思路,内控和财报审计均需要对其内控的有效性进行测试,并且二者应当基于同样的重要性水平,其测试结论应当为两种审计所共享。如果在测试中识别出某项控制缺陷,一方面要评估其对内控审计意见的影响,另一方面,还应当评价该项缺陷对财务报表审计中拟实施的实质性程序的范围和深度的影响。 三、小结 综上,整合审计过程中,对于企业内控的有效性,无论是整体层面还是流程层面,无论是设计方面还是运行方面,都必须进行审计测试,其结论用于支持内控审计意见。具体体现为: 1.整体层面审计测试结论,将支持财报审计的风险评估,但不可作为财报审计的控制测试的替代程序; 2.流程层面的审计测试结论,将直接取代财报审计中对认定层次的控制测试,并且这种控制测试在财报审计中是必不可少的。
四、整体层面审计思路 依据整合审计的逻辑,内控整体层面的审计应当按照如下程序进行,同时结合HN公司的案例,分析如下: (一)风险评估 基于前述的整合审计思路,我们对HN公司进行了初步的风险评估,并关注到HN公司2011年度发生了下列重大事项:
